Bij het uitpakken van een bestand kunnen eerdere versies van WinRAR, Windows-versies van RAR, UnRAR, portable UnRAR-broncode en UnRAR.dll om de tuin worden geleid een pad te gebruiken dat is gedefinieerd in een speciaal hiervoor samengesteld archief, in plaats van het door de gebruiker opgegeven pad.
Unix-versies van RAR, UnRAR, portable UnRAR-broncode en de UnRAR-bibliotheek, alsmede RAR voor Android, worden hierdoor niet beïnvloed.
We zijn whs3-detonator dankbaar, die samenwerkt met het Trend Micro Zero Day Initiative voor het ons laten weten van dit beveiligingsprobleem.

Als de inpakopties “Ingepakte bestanden testen” en “Herstelvolumes” samen worden gebruikt, worden herstelvolumes ook getest. Eerdere versies rondden de test af voordat er herstelvolumes waren aangemaakt, waardoor ze niet werden getest.

Voorheen nam de opdracht "Rapport genereren" ingepakte bestandsnamen 1:1 op in het HTML-rapport, waardoor mogelijk onveilige HTML-tags in het rapport konden worden geïnjecteerd. Om zulke injectie te voorkomen, worden in de huidige versie de bestandsnaamtekens '<' en '>' in het HTML-rapport vervangen door de tekenreeksen '<' en '>'.

We zijn Marcin Bobryk dankbaar (github.com/MarcinB44) voor het onder onze aandacht brengen van dit beveiligingsprobleem.

De nauwkeurigheid van bestandstijden in nanoseconden wordt voorbehouden aan Unix-bestandsrecords bij het wijzigen van een RAR-archief in Windows. Voorheen werd deze omgezet naar een Windows-nauwkeurigheid van 100 nanoseconde.